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Abstract: 


Today, information is considered as a vital element for the survival of the organization and 
information security is a significant issue in organizations. To achieve an acceptable level 
of security, organizations can use successful global methods and standards in this area. 
Using standards can help managers make the right decisions in this area. The standard 
control framework should have comprehensive control objectives to deal with threats. Loss 
of any of these dimensions undermines the organization's ability to deal with unwanted 
threats. According to experts the importance of these goals and criteria is not the same, and 
some have a higher priority than others. In this paper, the control targets of ISO 27001 are 
ranked using the Demetel technique and the cause-and-effect relationship between them is 
investigated. Also, the ranking of security evaluation criteria is done with the VASPAS 
technique. This technique is a combination of two methods of total weight model and 
weight product model and has a higher accuracy than independent models. The results of 
this article can be used in the process of information security audit and based on the 
obtained ranking can be applied to create and modify a secure structure in the organization. 
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رتبه‌بندی عوامل تأثیرگذار در ارزیابی امنیت اطلاعات سازمان مبتنی بر 
استاندارد بین‌المللی ایزو ۱۲۳۷۰۰ 
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جکیده 


امروزه اطلاعات به‌عنوان یک عنصر حیاتی برای cle‏ سازمان و امنیت اطلاعات به‌عنوان یک موضوع قابل‌توجه در سازمان‌ها 
مطرح می‌شود. برای دستیابی به سطح امنیتی قابل‌قبول» سازمان‌ها می‌توانند از به روش‌ها و استانداردهای موفق جهانی در این 
dine}‏ بهره گیرند. بهره گیری از استانداردها می‌تواند مدیران را در تصمیم‌گیری درست در این زمینه یاری رساند. چارچوب 
کنترل استاندارد wb‏ اهداف کنترلی جامعی برای مقابله با تهدیدات داشته باشد. از دست دادن هرکدام از این ابعاد توانایی 
سازمان برای مقابله با تهدیدهای ناخواسته را تضعیف می‌کند. میزان اهمیت این اهداف و معیارها طبق نظر خبرگان یکسان 
نبوده و برخی از اولویت بالاتری نسبت به بقیه برخوردار هستند. در این مقاله. اهداف کنترلی استاندارد gpl‏ ۲۷۰۰۱ با استفاده از 
تکنیک دیمتل رتبه‌بندی می‌شوند و رابطه علت و معلولی میان آنها بررسی می‌شود. همچنین رتبه‌بندی معیارهای ارزیابی امنیت 
با تکنیک واسپاس انجام می‌شود. این تکنیک, ترکیبی از دو روش مدل مجموع وزنی و مدل محصول وزنی می‌باشد و نسبت به 
مدل‌های مستقل از دقت بالاتری برخوردار است. از نتایج این مقاله می‌توان در فرآیند ممیزی امنیت اطلاعات استفاده نمود و بر 


مبنای رتبه‌بندی به‌دست‌آمده به ایجاد و اصلاح ساختار امن در سازمان پرداخت. 


واژه‌های کلیدی: امنیت اطلاعات. استاندارد امنیت اطلاعات. ایزو ۰۲۷۰۰۱ تکنیک دیمتل تکنیک واسپاس 
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۱- مقدمه 


در حال حاضر تهدید به امنیت اطلاعات یک مسئله جهانی است اما با این وجود هنوز اطلاعات و دانش کافی برای پیش‌بینی و 
کاهش اثرات آن در بسیاری از سازمان‌ها وجود ندارد ]1[ ایجاد یک محیط ایمن در سازمان‌های مدرن اطلاعاتی یکی از چالش‌های 
اساسی در عصر pole‏ محسوب می‌گردد. برای بسیاری از سازمان‌ها و مؤسسات اهمیت و ضرورت توجه جدی به مقوله امنیت 
اطلاعات joie‏ در هاله‌ای از ابهام قرار دارد و برخی دیگر امنیت را تا سطح یک محصول تنزل داده و فکر می‌کنند که با angi‏ یک 
محصول نرم‌افزاری خاص و نصب آن در سازمان خود. امنیت را برای سازمان خود به ارمغان می‌آورند LV]‏ استانداردها به‌روش‌های 
بسیاری در زمینه امنیت اطلاعات تدوین شده‌اند که زمینه مناسبی برای بهره گیری از روبکرد حفاظت سازمانی فراهم کرده‌اند و به 
سازمان‌ها کمک می کنند تا با پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات فرآیندهای امنیتی خود را متناسب با الزامات 
خویش به نحو مطلوبی بهبود ببخشند. پس از پیاده‌سازی سیستم مدیریت امنیت اطلاعات انطباق آن با کنترل‌ها و الزامات استاندارد 
بررسی می‌شود تا از کارایی هر چه بهتر و بهبود مستمر این سیستم اطمینان حاصل شود LV]‏ میزان اهمیت کنترل‌ها و الزامات در 
تمامی استانداردهای مدیریت امنیت اطلاعات یکسان در نظر گرفته شده است. در صورتی که طبق نظر خبرگان SE‏ این معیارها در 
برقراری سطح امنیتی مطلوب یکسان نمی‌باشد. راه‌حلی که این پژوهش در این حیطه پیشنهاد می‌کند. رتبه‌بندی و تعیین اولوبت 
اهداف و معیارهای ارزیابی استاندارد مدیریت امنیت اطلاعات برای بررسی تأثیر واقعی این عوامل در برقراری امنیت اطلاعات سازمان 
یناشن 


per: o مبانی نظری‎ -Y 
امنیت اطلاعات‎ Ce pro مفهوم سیستم‎ -۱-۲ 


سیستم مدیربت امنیت le dbl‏ اولین بار طی مراحل تحریر و توسعه استاندارد بریتانیایی 857799 در سال‌های انتهایی 
۰ میلادی موردبحث و توجه قرار گرفت. آخرین تعریف سیستم مدیریت امنیت اطلاعات از نظر استاندارد بین‌المللی آن عبارت 
است از: سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه رویکرد مخاطرات 
کسب‌وکار قرار داشته و Gam‏ آنء پایه گذاری» بهره‌برداری» نظارت. بازبینی» نگهداری و بهبود امنیت اطلاعات است LF]‏ سیستم 
مدیریت امنیت اطلاعات یک سیستم جامع امنیتی است که بر پایه سه اصل اساسی بنا شده است» این اصول عبارت‌اند از: 

سیاست‌ها و دستورالعمل‌های امنیتی: طرح‌ها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آن‌ها 
که در این بخش ay‏ آن‌ها پرداخته‌شده است. 

استراتژی‌های امنیتی در دو بخش فنی و غیر فنی ارائه‌شده که بخش غير فنی شامل تعیین سطوح امنیتی مطلوب و انتخاب 
استانداردهای امنیتی و بخش فنی شامل دستورالعمل‌های لازم برای به‌کارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به 
اهداف استراتژیک امنیتی می‌باشد. 

تکنولوژی و محصولات امنیتی: این قسمت شامل pled‏ ابزارهای مورداستفاده در بخش‌های مختلف امنیتی برای اعمال 
دستورالعمل‌هاء کنترل و پایش می‌باشد. 

عوامل اجرایی: fold‏ افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌هاء کارکنان و کاربران 
عادی می‌باشد. این افراد از تکنولوژی و محصولات امنیتی در جهت سیاست‌ها و دستورالعمل‌های امنیتی استفاده می‌کنند [F]‏ 
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۲-۳۲- استانداردهای Co pro‏ امنیت اطلاعات 


استانداردهای مدیریت امنیت اطلاعات یک چارچوب امنیتی همراه با فن‌های تخصصی برای پیاده‌سازی امنیت در فضای Jols‏ اطلاعات فراهم 
می‌کنند. استانداردهای جهانی مختلفی در زمینه فناوری اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات می‌شوند» مانند:7799 BS‏ 
BSIMM OWASP PCI-DSS ITIL DISA ISF ISACA COBIT «CIS NIST 800-53 0۳۶ 2‏ 
OPM SOA COSO ILTAT .CSA4‏ و غیره؛ برخی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان‌ها قرار نگرفته 
است. در این مقاله با توجه به نظرسنجی‌های انجام شده در سایت جهانی 180.0۲8 به بررسی پنج استاندارد امنیت برتر las‏ پرداخته شده است 
که gba;‏ گسترده درزمینه چارچوب» ساختار و امنیت فناوری اطلاعات مورداستفاده قرار می‌گیرند. این پنج استاندارد برتر شامل استاندارد 
مدیریتی 150/1۳027001 از موسسه بین‌المللی استاندارده استاندارد COBIT‏ از موسسه دولتی فناوری اطلاعات» کتابخانه زیرساخت فناوری 
اطلاعات TIL)‏ استاندارد 7799 BS‏ از موسسه ملی استاندارد انگلستان و PCLDSS‏ هستند. 


aw bio -Y-T‏ پنج استاندارد بر تر 


به‌زعم دو تن از محققان حوزه امنیت اطلاعات. استانداردهای موجود در حوزه امنیت اطلاعات در دودسته جای می گیرند: 


* استانداردهایی که در ایالات‌متحده ایجاد شده و مورداستفاده قرار می‌گيرند. COBIT‏ و ITIL‏ جز این دسته هستند. 

* استانداردهایی که در bg!‏ توسعه داده‌شده و مورداستفاده قرارگرفته‌اند. 27001 ISO/IEC‏ و 857799 جز این دسته 
محسوب می‌شود. 

استانداردهای kal‏ می‌توانند توسط مراجع asl‏ شده همانند ISO‏ و 881 مورد ممیزی قرار بگیرند و سازمان‌های مورد تائید موفق به اخذ 
گواهینامه معتبر شوند اما استانداردهای آمریکایی به‌عنوان یک راهنمای خود ارزیاب مورداستفاده قرار می‌گیرند و گواهینامه‌ای به سازمانی که 
استاندارد را پیاده‌سازی کرده تعلق نمی‌گیرد [۵]. والهاف معتقد است COBIT‏ و ITIL‏ چارچوب‌هایی هستند که به‌طور گسترده‌تر به بحث 
تضمین اراته خدمات فن‌آوری اطلاعات مربوط می‌شوند. آخرین نسخه ITIL‏ به‌خوبی کلیه فرآیندها و مفاهیمی که در یک سازمان برای اراد 
خدمات فن‌آوری اطلاعات وجود دارد را توصیف کرده و پوشش می‌دهند و COBIT‏ به‌خوبی کنترل و سنجه‌ها را معرفی می‌نماید؛ اما هنگامی که 
راجع به امنیت اطلاعات صحبت می‌شود هیچکدام از این چارجوب‌ها کافی نبوده و نتوانسته‌اند تمام س را پوشش دهند و استانداره ISO/IEC‏ 


1 توانسته شکل کاملی از فرآیندها و کنترل‌های امنیتی را برای سازمان فراهم آورد Ld]‏ 


۴-۲- انتخاب استاندارد جهت طراحی سیستم خبره امنیت اطلاعات 

چارچوب کنترل استاندارد ob‏ اهداف کنترلی جامعی برای مقابله با تهدیدات داشته باشد. طراحی اهداف جامع کنترلی باید به تفکیک وظایف 
و دانش لازم برای اجرای آن انجام گیرد. از دست دادن هرکدام از این ابعاد توانایی شما برای مقابله با تهدیدهای ناخواسته را تضعیف می کند [p]‏ 
سوسانتو و همکاران در پژوهشی که در سال ۲۰۱۵ انجام داده‌اند به مقایسه استانداردهای نامبرده از ابعاد گوناگونی پرداخته‌اند: شکل ۱ درصد 


کشورهای استفاده کننده از پنج استاندارد برتر در سطح جهان نسبت به یکدیگر را نشان می‌دهد: 
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در صد کشورهای استفاده کننده از استاندارد در حهان 


3% 
4% 48% m ISO 27001 
D E BS 7799 
E PCIDSS 
ازور‎ 
COBIT 


شکل ۱: درصد کشورهای استفاده کننده از استاندارد در جهان [V]‏ 


گستردگی استفاده از استانداردها نیز در مقایسه با هم در شکل ۲ نشان داده شده است: 


گستردگی استفاده از استاندارد 


E ISO 27001 
E BS 7799 


O PCIDSS 


BITIL 
COBIT 


شکل ۲: گستردگی استفاده از استاندارد در سطح جهان [V]‏ 


شکل ۲ موقعیت استانداردهای برجسته امنیت اطلاعات را به تصویر کشیده است: 


3۳ International Conference on Applied Researches in 
Science & Engineering 
5th January 2018 - Istanbul Turkey 


Marmara University 


حاکمیت فناوری اطلاعات 
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شکل ۳: موقعیت استانداردهای برجسته امنیت اطلاعات [V]‏ 


همان‌طور که در شکل ۲ مشاهده می‌شود هر استاندارد در اجرای ISMS‏ نقش و موقعیت خود را دارد» استانداردهایی از جمله ISO/IEC‏ 
BS 7799 , 27001‏ بر روی سیستم مدیریت امنیت اطلاعات به‌عنوان دامنه hol‏ متمرکز هستند درحالی که تمرکز استاندارد PCI-DSS‏ 


محدود به معاملات کسب‌و کار و کارت هوشمند بوده و پس از آن ITIL 5 COBIT‏ بر امنیت اطلاعات 5 ارتباط al‏ به مدیریت پروژه و مدير 


فناوری اطلاعات تمرکز دارد. اشاره به قابلیت استانداردها نشان می‌دهد که 27001 ISO/TEC‏ از چهار استاندارد دیگر به‌ویژه در زمینه ISMS‏ 


پیشرو است؛ بنابراین استاندارد 27001 ISO/IEC‏ نسبت به چهار استاندارد امنیتی So‏ به‌خوبی شناخته شده و به‌آسانی اجرا می‌شود به همین 


دلیل موجبات پذیرش آن توسط ذی‌نفعان را فراهم می‌سازد [۷]. مطابق با آخرین آمار منتشرشده از سوی سازمان استاندارد جهانی gpl‏ تعداد 
گواهی‌های 8 صادرشده استاندارد 27001 ISO/IEC‏ هرساله روند صعودی داشته است. در سال ۲۰۱۶ با رشد ۲۱/+ نسبت به سال 


۵ تعداد گواهی‌های صادر شده به ۳۳۲۹۰ گواهینامه معتبر رسیده است [۴]. با توجه به اينکه هدف پژوهش حاضر ارائه یک مدل سلسله 


مراتبی ممیزی امنیت اطلاعات در سازمان می‌باشد به دلایل زیر استاندارد 27001 ISO/IEC‏ برای ادامه پژوهش انتخاب می‌گردد: 


v 
v 


ستاندارد 27001 ISO/IEC‏ مهم‌ترین و پرمراجعه‌ترین استاندارد مدیریت امنیت اطلاعات است. 

ستاندارد 27001 ISO/IEC‏ زمینه مناسبی برای بهره گیری از رویکرد حفاظت سازمانی فراهم کرده است و به تمام 
سازمان‌ها با هر اندازه» ساختار» فرهنگ سازمانی و هر سطح بلوغی کمک می کند تا با پیاده‌سازی و استقرار سیستم مدیریت 
منیت اطلاعات فرآیندهای امنیتی خود را متناسب با الزامات خویش به نحو مطلوبی بهبود ببخشند. 

ستاندارد 27001 ISO/IEC‏ می‌تواند توسط مرجع تائید شده ISO‏ مورد ممیزی قرار بگیرد و سازمان‌های مورد BSE‏ 
موفق به اخذ گواهینامه معتبر شوند. 

نسبت به pls‏ استاندارد‌ها پوشش کامل‌تری در فرآیندها و کنترل‌های امنیتی دارد. 

گستردگی استفاده از این استاندارد در سطح جهان قابل توجه است. 

به دلیل Let‏ و پیاده‌سازی آسان‌تر نسبت به استانداردهای دیگر. مقبولیت بهتری توسط ذی‌نفعان دارد. 
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VW‏ هرساله تعداد گواهینامه‌های صادر شده استاندارد 27001 ISO/IEC‏ توسط سازمان‌ها رشد صعودی قابل توجهی داشته 


۵-۳۲- استاندارد 27001 ISO/IEC‏ 
استاندارد بین‌المللی 27001 ISO/IEC‏ به‌منظور ارائه الزاماتی برای استقرار پیاده‌سازی» نگهداری و بهبود مستمر یک 
سیستم مدیریت امنیت اطلاعات تهیه‌شده است. استاندارد 27001 ISO/IEC‏ نمای کلی و واژگان سیستم‌های مدیریت امنیت 
اطلاعات را توصیف کرده و مرجع خانواده استاندارد مدیریت امنیت اطلاعات شامل ,27004 ISO/IEC 27003, ISO/IEC‏ 
ISO/IEC 5‏ به همراه اصطلاحات و تعاریف مرتبط با آن‌ها cul‏ این استاندارد برای ضمانت انتخاب کنترل‌های امنیتی 
به‌جا و مناسب برای حفاظت از دارایی‌های اطلاعاتی. طراحی‌شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط 
به استاندارد 27001 ISO/IEC‏ می‌گردد به این معنی است که آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با 
بهترین روش‌های ممکن ce pte‏ نماید. این استاندارد برای پیاده‌سازی در انواع سازمان‌های دولتی. خصوصی, بزرگ و یا کوچک 
مناسب است. این استاندارد اظهار می‌دارد که در هر ناحیه. ممیز wh‏ اوضاع کنونی را با توجه به معیارها یا استانداردهای امنیتی 
که می‌تواند سازمان را به بهترین نحو محافظت کنند ارزیابی نماید TA]‏ شکل ۴ ساختار کلی استاندارد 27001 ISO/IEC‏ و 

شکل ۵ سرفصل‌های کنترلی آن را نمایش می‌دهد. 


YA‏ معیار ارزیابی اهداف کنترلی 


ISO/IEC 27001 استاندارد‎ 


شکل ۴: ساختار کلی استاندارد ایزو ۲۷۰۰۱ 


شکل ۵: اهداف کنترلی استاندارد ایزو ۲۷۰۰۱ 
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۶-۲- تکنیک دیمتل 
این تکنیک یک روش ارزیابی تصمیم است که در سال ۱۹۷۱ توسط Fonteal‏ و Gabus‏ برای حل مسائل پیچیده تصمیم‌گیری توسعه داده 


شده است. این روش به‌منظور کشف رابطه cde‏ و معلولی gle‏ معیارها و شناسایی عوامل تأثیرگذار که بیشترین تأثير را در روند تصمیم گیری 


دارد دنبال می‌شود. .]٩[‏ این تکنیک شامل مراحل زیر می‌باشد: 
۱ ساخت ماتریس ارتباط مستقیم بر اساس نظرات خبرگان 
ارزیابی روابط gle‏ معیارها (تأثیر یک معیار بر معیار دیگر) بر اساس نظرات خبرگان تحقیق با استفاده از طیف رتبه‌بندی ۰ تا ۴ انجام 


می‌گردد که در آن ۰ به معنی عدم تأثیرگذاری» ۱ به معنی تأثیر اندک» ۲ به معنی تأثیر متوسط. ۲ به معنی تأثیر زیاد و ۴ به معنی تأثیر 


بسیار dbj‏ می‌باشد. در این مرحله برای تشکیل ماتریس ارتباط مستقیم از میانگین نظرات خی گان استفاده می‌شود: 


a11 aij ain 
A=|4i1 ۰... ay ۰... in (\) 
anı anj ann 


۲._نرمال کردن ماتریس ارتباط مستقیم 


ماتریس ارتباط مستقیم با استفاده از روابط زیر نرمال شده و ماتریس N‏ به دست میآید: 


N= VA M 


V= min{1/max Yi aij , 1/ max Dj, ag} و‎ LJE }ص,...,1,2{‎ 2 
i j 


۳. محاسبه ماتریس ارتباطات کامل معیارها 
بعد از نرمال شدن ماتریس ۸ ماتریس N‏ به دست آمد. ماتریس ارتباطات کامل از طریق رابطه زير به دست خواهد آمد. در این 
رابطه I‏ بیانگر ماتریس واحد می‌باشد. 


(¥) 
Tc=N+N’ +...t+N"=N(-NJ!, when fim N" 


۴ تشکیل نگاشت روابط شبکه 
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به‌منظور تعیین نگاشت روابط شبکه از دو بردار 7 و استفاده می‌شود که به ترتیب مجموع ردیف‌ها و ستون‌های ماتریس T‏ 


می‌باشد که از روابط زیر محاسبه می‌شوند: 


(0) 


r = [r]n*l = [Zj ty] ps 
d=[dJn*! < Ehil, e) 


J به معنی‎ dj و نشان‌دهنده مجموع تأثیرات مستقیم و غیرمستقیم معیار  بر دیگر معیارهاست.‎ T به معنی مجموع  مین ردیف ماتریس‎ Ti 
بیانگر‎ TF و نشان‌دهنده مجموع تأثیرات مستقیم و غیرمستقیم است که دیگر معیارها بر معیار زمی‌گذارند. شاخص زل‎ T امین ستون ماتریس‎ 
نشان‌دهنده تأثیرگذاری و یا تأثیرپذیری معیار  می‌باشد. در حالت کلی» چنانچه‎ 1: - dj ام می‌باشد. شاخص‎ i میزان اهمیت (شدت) معیار‎ 
جزء گروه‎ pli معیار‎ ij) منفی باشد‎ ۲: - dj جز دسته معیارهای علی یا تأثیرگذار است. چنانچه‎ pli معیار‎ (ij) باشد‎ Cute ۲ - dj 
را محاسبه می‌نمايیم. نمودار سببی بر پایه دو شاخص مذکور قابل ترسیم بوده که‎ d معیارهای تأثیرپذیر است. به همین صورت میزان شاخص 7و‎ 


به نقشه روابط شبکه معروف است. با توجه به این نقشه می‌توان تصمیم گرفت که چگونه ابعاد و معیارها را می‌توان بهبود داد LA]‏ 


۷-۳- تکنیک واسیاس 
تکنیک واسپاس (ارزیابی محصول جمع شده با وزن) یکی از روش‌های تصمیم گیری چند شاخصه است که در سال ۰1۲ توسط آقای 
5 و همکاران در پژوهشی معرفی شد. این روش ترکیبی از دو روش مدل مجموع وزنی و مدل محصول وزنی می‌باشد و نسبت به 
مدل‌های مستقل از دقت بالاتری برخوردار است [۱۰]. این تکنیک شامل مراحل زیر می‌باشد: 

۱ تشکیل ماتریس تصمیم بر اساس معیارها و نظرات خبرگان 

۲ نرمال‌سازی ماتریس تصمیم به‌وسیله روش خطی و توسط فرمول زیر: 


اگرمعیارها tt cel fo‏ میت فر تضمیم گیری باشند از رابطه زیر استفاده seat ga‏ 


Xij 


X= — (Y) 
Xi Max; Xij 
اگر معیارها دارای نقش منفی در تصمیم‌گیری باشند از رابطه زیر استفاده می کنیم:‎ 
— Mini xij 
x, نش‎ 
Xij 


۳ محاسبه اهمیت نسبی گزینه‌ها بر اساس روش مدل مجموع وزنی: 


1 — 
0/۳ = Xj- Xj Wj @) 
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Q” = jar iy)” 


۵ دراین گام اهمیت نسبی گزینه 1 م از طریق فرمول زیر محاسبه می‌شود: 


Qi= A OF" + (1-2) Of, à = 01 (\\)‏ 
در این گام Landa‏ بهینه طبق فرمول زیر محاسبه می‌شود: 


در معادله‌های فوق ij‏ × مقدار نرمال شده Max; Xij 9 Xij‏ بیشترین مقدار Xij‏ در شاخص j‏ می‌باشد. بدیهی است هر گزینه 
که مقدار ۵ بالاتری کسب کند دارای امتیاز بالاتری است [۱۰] 


۳- پافته‌ها 

آنچه تاکنون بیان شد نشان داد تا چه حد امنیت اطلاعات برای سازمان مهم بوده و این موضوع یکی از چالش‌های جهانی است. به همین علت 
استانداردها و به‌روش‌های بسیاری برای ارزیابی امنیت اطلاعات تدوین و ارائه شده‌اند که می‌تواند به سازمان‌ها کمک کند تا سطح امنیت اطلاعات 
خود را محاسبه کرده» مشکلات و موانعی که در جهت رسیدن به سطح امنیتی مناسب بر سر راه آن‌ها قرار دارد را شناسایی و با توجه به سطحی 
که در آن قرار دارند با استفاده از تکنیک‌ها و فرآیندهای مناسب برای رسیدن به سطح امنیتی بالاتر گام بردارند. در این مقاله پس از بررسی 
استانداردهای مختلف در زمینه مدیریت امنیت اطلاعات همان‌طور که در بخش ادبیات نظری بیان شد. استاندارد 27001 ISO/IEC‏ به دلایلی 
چون گستردگی استفاده. محبوبیت و پیاده‌سازی آسان برای ادامه پژوهش انتخاب گردید. سپس از مطالعه منابع کتابخانه‌ای و استاندارد 
ISO/IEC 1‏ اهداف کنترلی و معیارهای ارزیابی استاندارد 27001 1900/1۳ استخراج شدند. به‌منظور رتبه‌بندی اهداف و معیارهای 
شناسایی شده با استفاده از ابزار پرسشنامه نظر دوازده تن از خبرگان حوزه فناوری اطلاعات جمع‌آوری شد. بعد از جمع‌آوری داده‌ها از طریق 
پرسشنامه نظرسنجی از خبرگان و تحلیل اطلاعات گردآوری‌شده دوازده خبره نتیجه رتبه‌بندی اهداف کنترلی با تکنیک دیمتل و رتبه‌بندی 


معیارهای ارزیابی با تکنیک واسپاس به‌صورت زير بیان می‌شود: 


جدول ۱- رتبه‌بندی اهداف کنترلی استاندارد ایزو ۲۷۰۰۱ با استفاده از تکنیک دیمتل 


sb‏ گذار اپذیر 


خط مشی‌های امنیت اطلاعات 1.8354 a‏ 1.8354 | 1.8354 
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با استفاده از دو شاخص R-J‏ و RAJ‏ نمودار سببی به‌صورت زیر ترسیم‌شده و در شکل ۶ نمایش داده شده است: 


3۳ International Conference on Applied Researches in 


Science & Engineering 


5th January 2018 - Istanbul Turkey 


Marmara University 


جدول ۲- رتبه‌بندی معیارهای ارزیابی استاندارد ایزو ۲۷۰۰۱ با استفاده از تکنیک واسپاس 


(ial Pea Ea E | | 


خطمشی‌هابی برای امنیت اطلاعات و 51000000 | 06443 i 75 ka 237305 | 024531 | 001689 a‏ 
بازبینی‌های آن 


0 سس سس سس سس‎ oe 
D سس‎ Rl 
و سا دون‎ 
ی لا‎ 
سس اج‎ ESA 
J اس اس اسب‎ e — 
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ed لا‎ a NS Is 
ا‎ 
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۴- بحث و نتیجه گیری 


هر پژوهشی با ارائه ایده‌ها و پیشنهادهای صحیح و متناسب با حیطه موضوعی موردنظر انجام می‌شود تا بتواند به شکل نظری و 
پا کاربردی مسئله و مشکلی را حل کند يا راه‌حل‌های فعلی را بهبود ببخشد. پژوهش pole‏ نیز در راستای بهبود ارزیابی امنیت 
اطلاعات در سازمان‌ها شکلگرفته است. این پژوهش با نگاهی واقع‌گرا به عوامل Phe‏ در ارزیابی امنیت اطلاعات به رتبه‌بندی و تعیین 
اولویت اهداف و معیارهای ارزیابی امنیت اطلاعات استاندارد بین‌المللی gpl‏ ۲۷۰۰۱ پرداخته است. به‌منظور رتبه‌بندی و تعیین اولویت 
اهداف از تکنیک دیمتل و به‌منظور رتبه‌بندی معیارها از روش قدرتمند واسپاس بهره برده شده است. طبق نتایج به‌دست‌آمده 
«خطمشی‌های امنیت اطلاعات» و «اکتساب. توسعه و نگهداری از سیستم» به ترتیب تأثیرگذارترین عامل و تأثیرپذیرترین عامل در 
تحقق امنیت اطلاعات سازمان بوده و «خطمشی‌هایی برای امنیت اطلاعات و بازبینی‌های آن» و «داده‌های آزمون» به ترتیب 
پراهمیت‌ترین shes‏ و کم‌آهمیت‌ترین معیار ارزیابی امنیت اطلاعات می‌باشد. تاکنون در هیچ‌یک از تحقیقات داخلی و خارجی انجام 
شده میزان اهمیت این اهداف متفاوت از هم در نظر نگرفته شده است. پیشنهاد می گردد در ممیزی امنیت اطلاعات و محاسبه سطح 
امنیت اطلاعات سازمان pil‏ رتبه‌بندی اهداف و معیارها در نظر گرفته شود. 
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